Publicado el

Día de Internet Segura 2022

Como cada año, se celebra el segundo martes de febrero a nivel mundial, por tanto, este año celebramos el Día de Internet Segura el 8 de febrero de 2022 y en esta edición, el lema elegido ha sido:

“Juntos por una Internet mejor”

El objetivo de este día es concienciar acerca de la seguridad en Internet, y promover un uso seguro y positivo de las tecnologías digitales, sobre todo entre los menores, pero también pretende concienciar a padres y tutores, educadores, profesores, trabajadores sociales, e incluso empresas y responsables políticos.

¡Entre tod@s, podemos conseguir crear una Internet más segura!

En CSIRT-CV hemos preparado este video donde te enseñamos las diferentes campañas que tienes disponibles en nuestra web concienciaT.

Siguiendo nuestros consejos mejorarás en ciberseguridad y te ayudarán a aportar tu granito de arena para mejorar Internet y convertirla en un espacio más seguro para tod@s.

Publicado el

Múltiples Vulnerabilidades en Cisco Small Business

Introducción

Múltiples vulnerabilidades en Cisco Small Business permiten a los atacantes ejecutar códigos y comandos arbitrarios, escalar privilegios, omitir autenticación o causar denegación de servicio [1].

 

Análisis

CVE-2022-20699

Esta vulnerabilidad en el módulo SSL VPN de Cisco permite a un atacante no autenticado ejecutar código remoto. Esto es debido a la falta de comprobaciones cuando se procesa una petición HTTP.

Productos afectados:

RV340 Dual WAN Gigabit VPN Routers 1.0.03.24
RV340W Dual WAN Gigabit Wireless-AC VPN Routers 1.0.03.24
RV345 Dual WAN Gigabit VPN Routers 1.0.03.24
RV345P Dual WAN Gigabit POE VPN Routers 1.0.03.24

La vulnerabilidad tiene una puntuación CVSSv3 de 10.0 por lo que se considera de prioridad crítica.
Actualmente no hay prueba de concepto asociada a esta vulnerabilidad.

 

CVE-2022-20700 y CVE-2022-20701

Estas vulnerabilidades permiten a un atacante autenticado elevar privilegios hasta administrador. Esto es debido a mecanismos insuficientes de autenticación.

Productos afectados:

RV160 VPN Routers <=1.0.01.05
RV160W Wireless-AC VPN Routers <=1.0.01.05
RV260 VPN Routers <=1.0.01.05
RV260P VPN Routers with PoE <=1.0.01.05
RV260W Wireless-AC VPN Routers <=1.0.01.05
RV340 Dual WAN Gigabit VPN Routers 1.0.03.24
RV340W Dual WAN Gigabit Wireless-AC VPN Routers 1.0.03.24
RV345 Dual WAN Gigabit VPN Routers 1.0.03.24
RV345P Dual WAN Gigabit POE VPN Routers 1.0.03.24

Las vulnerabilidades tienen una puntuación CVSSv3 de 9.0 y 10.0 por lo que se consideran de prioridad crítica.
Actualmente no hay prueba de concepto asociada a estas vulnerabilidades.

 

CVE-2022-20703

Esta vulnerabilidad es debida a una mala verificación de las imágenes de software instaladas en el dispositivo. Un atacante sin autenticar puede instalar y ejecutar software malicioso sin firmar.

Productos afectados:

RV160 VPN Routers <=1.0.01.05
RV160W Wireless-AC VPN Routers <=1.0.01.05
RV260 VPN Routers <=1.0.01.05
RV260P VPN Routers with PoE <=1.0.01.05
RV260W Wireless-AC VPN Routers <=1.0.01.05
RV340 Dual WAN Gigabit VPN Routers 1.0.03.24
RV340W Dual WAN Gigabit Wireless-AC VPN Routers 1.0.03.24
RV345 Dual WAN Gigabit VPN Routers 1.0.03.24
RV345P Dual WAN Gigabit POE VPN Routers 1.0.03.24

La vulnerabilidad tiene una puntuación CVSSv3 de 9.3 por lo que se considera de prioridad crítica.
Actualmente no hay prueba de concepto asociada a esta vulnerabilidad.

 

CVE-2022-20706

Una vulnerabilidad en el Open Plug and Play (PnP) del módulo de cisco permite a un atacante sin autenticar inyectar y ejecutar comandos por debajo del sistema operativo.

Productos afectados:

RV160 VPN Routers <=1.0.01.05
RV160W Wireless-AC VPN Routers <=1.0.01.05
RV260 VPN Routers <=1.0.01.05
RV260P VPN Routers with PoE <=1.0.01.05
RV260W Wireless-AC VPN Routers <=1.0.01.05
RV340 Dual WAN Gigabit VPN Routers 1.0.03.24
RV340W Dual WAN Gigabit Wireless-AC VPN Routers 1.0.03.24
RV345 Dual WAN Gigabit VPN Routers
RV345P Dual WAN Gigabit POE VPN Routers

La vulnerabilidad tiene una puntuación CVSSv3 de 8.3 por lo que se considera de prioridad alta.
Actualmente no hay prueba de concepto asociada a esta vulnerabilidad.

 

CVE-2022-20708

Una vulnerabilidad basada en el mantenimiento de la interfaz web de Cisco, permite a un atacante sin autenticar inyectar y ejecutar comandos por debajo del sistema operativo.

Productos afectados:

RV340 Dual WAN Gigabit VPN Routers 1.0.03.24
RV340W Dual WAN Gigabit Wireless-AC VPN Routers 1.0.03.24
RV345 Dual WAN Gigabit VPN Routers 1.0.03.24
RV345P Dual WAN Gigabit POE VPN Routers 1.0.03.24

La vulnerabilidad tiene una puntuación CVSSv3 de 10 por lo que se considera de prioridad crítica.
Actualmente no hay prueba de concepto asociada a esta vulnerabilidad.

 

CVE-2022-20711

Una vulnerabilidad en la web UI de Cisco permite a un usuario sin autenticar sobreescribir determinados archivos. Esto es debido a la falta de validación de componentes específicos en la web UI.

Productos afectados:

RV340 Dual WAN Gigabit VPN Routers 1.0.03.24
RV340W Dual WAN Gigabit Wireless-AC VPN Routers 1.0.03.24
RV345 Dual WAN Gigabit VPN Routers 1.0.03.24
RV345P Dual WAN Gigabit POE VPN Routers 1.0.03.24

La vulnerabilidad tiene una puntuación CVSSv3 de 8.2 por lo que se considera de prioridad alta.
Actualmente no hay prueba de concepto asociada a esta vulnerabilidad [2].

 

Recomendaciones

Cisco ya ha proporcionado parches que solucionan las vulnerabilidades. Para los productos RV340 y RV345 Series Routers, se debe actualizar a la versión 1.0.03.26.

En cambio, los productos RV160 y RV260 Series Routers se solucionarán en el parche de Cisco de febrero de 2022. Se recomienda actualizar todos los productos desde la página oficial de Cisco [3].

 

Referencias
[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smb-mult-vuln-KA9PK6D
[2] https://www.cybersecurity-help.cz/vdb/SB2022020302
[3]https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html#fixes?_ga=2.1495349.545460674.1643620637-1811359862.1643620637

Publicado el

Vulnerabilidad crítica de tipo RCE en Samba (CVE-2021-44142)

Introducción

Todas las versiones de Samba anteriores a la 4.13.17 están afectadas por una vulnerabilidad de lectura/escritura de heap fuera de límites que permite a los atacantes ejecutar código arbitrario como root en las instalaciones de Samba afectadas que utilizan el módulo VFS vfs_fruit.

El módulo VFS es parte de la suite samba y proporciona una mayor compatibilidad con los clientes SMB de Apple y la interoperabilidad con un servidor de archivos Netatalk 3 AFP. [1]

 

Análisis

El fallo específico existe en el análisis de los metadatos de atributos extendidos al abrir archivos en smbd. Se requiere acceso con un usuario con permisos de escritura de  atributos extendidos de ficheros para poder explotar esta vulnerabilidad. Tenga en cuenta que podría ser un invitado o un usuario no autenticado si tales usuarios tienen permitido el acceso de escritura a los atributos extendidos de los ficheros.

El problema en vfs_fruit existe cuando se usa la configuración por defecto del módulo VFS de fruit, el cual tiene los siguientes valores predeterminados fruit:metadata=netatalk o fruit:resource=file. Si ambas opciones se configuran con valores diferentes a los predeterminados, el sistema no se ve afectado por el problema de seguridad.

 

Recomendaciones

Samba ha publicado parches e instaladores específicos para de las versiones 4.13.17, 4.14.12 y 4.15.5 que resuelven esta vulnerabilidad. [2] [3]

Si no se puede llevar a cabo esta actualización, como mitigación, elimine el módulo VFS «fruit» de la lista de objetos VFS configurados en cualquier línea «vfs objects» en la configuración de Samba smb.conf.

Tenga en cuenta que al cambiar los valores del módulo VFS fruit:metadata o fruit:resource para utilizar la configuración no afectada, esto hace que toda la información almacenada sea inaccesible a los clientes de macOS. [4]

 

Referencias
[1] https://securityaffairs.co/wordpress/127457/security/cve-2021-44142-samba-rce.html
[2] https://www.samba.org/samba/download/
[3] https://bugzilla.samba.org/show_bug.cgi?id=14914
[4] https://www.samba.org/samba/security/CVE-2021-44142.html

Publicado el

Nueva edición 2022 de los cursos online de seguridad que imparte CSIRT-CV

Los cursos se imparten a través de la plataforma SAPS?.

El plazo de matriculación está abierto desde el 31 de enero hasta el 31 de diciembre, ambos inclusive.

Si todavía no eres usuario de SAPS?, solo debes registrarte en su plataforma y podrás matricularte en los cursos que CSIRT-CV ofrece y sean de tu interés.

Acceso a SAPS?

Os invitamos a tod@s a participar en estos cursos online gratuitos.

Empieza el año estando al día en temas de seguridad sobre el Reglamento General de Protección de Datos (RGPD), el uso seguro de iOS y de Android, menores e Internet, compras online, correo electrónico, malware, Nmap y muchos más.

Accede a nuestros Cursos para obtener más información sobre cada uno de ellos.